Waarom rode teams de belangrijkste vragen van verdedigers niet kunnen beantwoorden

COMMENTAAR

In 1931, wetenschapper en filosoof Alfred Korzybski schreef: “De kaart is niet het territorium.” Hij bedoelde dat alle modellen, net als kaarten, bepaalde informatie weglaten in vergelijking met de werkelijkheid. De modellen die worden gebruikt om bedreigingen op het gebied van cyberbeveiliging te detecteren, zijn eveneens beperkt, dus verdedigers moeten zich altijd afvragen: “Detecteert mijn detectie van bedreigingen alles wat het zou moeten detecteren?” Penetratietesten en rood- en blauwteamoefeningen zijn pogingen om deze vraag te beantwoorden. Of, om het anders te zeggen: in hoeverre komt hun kaart van een dreiging overeen met de realiteit van de dreiging? 

Helaas, beoordelingen van het rode team beantwoord deze vraag niet zo goed. Red teaming is nuttig voor tal van andere zaken, maar het is het verkeerde protocol voor het beantwoorden van deze specifieke vraag over de doeltreffendheid van defensie. Als gevolg hiervan hebben verdedigers geen realistisch beeld van hoe sterk hun verdediging is.

De beoordelingen van het Rode Team zijn van nature beperkt

Beoordelingen van het rode team zijn niet zo goed in het valideren van de werking van de verdediging. Door hun aard testen ze slechts enkele specifieke varianten van enkele mogelijke aanvalstechnieken die een tegenstander zou kunnen gebruiken. Dit komt omdat ze een aanval uit de echte wereld proberen na te bootsen: eerst verkenning, dan inbraak, dan zijdelingse beweging, enzovoort. Maar het enige dat verdedigers hiervan leren, is dat deze specifieke technieken en varianten hun verdediging tegenwerken. Ze krijgen geen informatie over andere technieken of andere varianten van dezelfde techniek.

Met andere woorden: als verdedigers het rode team niet detecteren, komt dat dan doordat hun verdediging ontbreekt? Of komt het omdat het rode team de enige optie koos waar ze niet op voorbereid waren? En als ze het rode team hebben gedetecteerd, is hun detectie van bedreigingen dan alomvattend? Of kozen de ‘aanvallers’ gewoon voor een techniek waarop ze waren voorbereid? Er is geen manier om het zeker te weten.

De oorzaak van dit probleem is dat rode teams niet genoeg van de mogelijke aanvalsvarianten testen om de algehele sterkte van de verdediging te beoordelen (hoewel ze op andere manieren waarde toevoegen). En aanvallers hebben waarschijnlijk meer opties dan u zich realiseert. Eén techniek die ik heb onderzocht, kende 39,000 variaties. Een ander had er 2.4 miljoen! Het testen van alle of de meeste hiervan is onmogelijk, en te weinig testen geeft een vals gevoel van veiligheid.

Voor leveranciers: vertrouw maar verifieer

Waarom is het testen van bedreigingsdetectie zo belangrijk? Kortom, dit komt omdat beveiligingsprofessionals willen verifiëren dat leveranciers daadwerkelijk over een uitgebreide detectie beschikken voor het gedrag dat zij beweren te stoppen. De beveiligingshouding is grotendeels gebaseerd op leveranciers. Het beveiligingsteam van de organisatie kiest en implementeert een inbraakpreventiesysteem (IPS), eindpuntdetectie en respons (EDR), gebruikers- en entiteitsgedragsanalyses (UEBA) of vergelijkbare tools en vertrouwt erop dat de software van de geselecteerde leverancier het gedrag zal detecteren dat het zegt te zullen detecteren. Beveiligingsprofessionals willen steeds vaker claims van leveranciers verifiëren. Ik ben de tel kwijt van het aantal gesprekken dat ik heb gehoord waarin het rode team vertelt wat ze hebben gedaan om in te breken in het netwerk, het blauwe team zegt dat dat niet mogelijk zou moeten zijn, en het rode team haalt zijn schouders op en zegt: 'Nou, we hebben het zo gedaan...' Verdedigers willen zich verdiepen in deze discrepantie.

Testen tegen tienduizenden varianten

Hoewel het testen van elke variant van een aanvalstechniek niet praktisch is, denk ik dat het testen van een representatieve steekproef ervan dat wel is. Om dit te doen kunnen organisaties benaderingen zoals de open source van Red Canary gebruiken Atoomtesten, waarbij technieken afzonderlijk worden getest (niet als onderdeel van een overkoepelende aanvalsketen) met behulp van meerdere testgevallen voor elk. Als een oefening met het rode team op een voetbalwedstrijd lijkt, is Atomic Testing hetzelfde als het oefenen van individuele acties. Niet al deze plays zullen in een volledige scrimmage plaatsvinden, maar het is nog steeds belangrijk om te oefenen als ze dat wel doen. Beide moeten deel uitmaken van een goed afgerond trainingsprogramma, of in dit geval een goed afgerond beveiligingsprogramma.

Vervolgens moeten ze gebruik maken van een set testcases die alle mogelijke varianten van de betreffende techniek dekken. Het bouwen van deze testgevallen is een cruciale taak voor verdedigers; het zal direct correleren met hoe goed de tests de beveiligingscontroles beoordelen. Om mijn analogie hierboven voort te zetten: deze testgevallen vormen de ‘kaart’ van de dreiging. Net als bij een goede kaart laten ze niet-belangrijke details weg en benadrukken ze de belangrijke details om een ​​lagere resolutie, maar over het algemeen nauwkeurige weergave van de dreiging te creëren. Het bouwen van deze testgevallen is een probleem waar ik nog steeds mee worstel (ik heb geschreven over een deel van mijn werk tot nu toe).

Een andere oplossing voor de tekortkomingen van de huidige detectie van bedreigingen is het gebruik van paarse elftallen – ervoor zorgen dat de rode en blauwe teams samenwerken in plaats van elkaar als tegenstanders te zien. Meer samenwerking tussen rode en blauwe teams is een goede zaak, vandaar de opkomst van paarse teamdiensten. Maar de meeste van deze diensten lossen het fundamentele probleem niet op. Zelfs met meer samenwerking zijn beoordelingen die slechts naar enkele aanvalstechnieken en varianten kijken nog steeds te beperkt. De dienstverlening van het Paarse team moet evolueren.

Betere testgevallen bouwen

Een deel van de uitdaging bij het bouwen van goede testgevallen (en de reden waarom rood-blauwe teamsamenwerking op zichzelf niet voldoende is) is dat de manier waarop we aanvallen categoriseren veel details verhult. Cybersecurity bekijkt aanvallen door een drielaagse lens: tactieken, technieken en procedures (TTP’s). Een techniek als credential dumpen kan worden bereikt door veel verschillende procedures, zoals Mimikatz of Dumpert, en elke procedure kan veel verschillende reeksen functieaanroepen hebben. Het definiëren van wat een “procedure” is, wordt al snel moeilijk, maar is mogelijk met de juiste aanpak. De industrie heeft nog geen goed systeem ontwikkeld om al deze details te benoemen en te categoriseren.

Als u uw detectie van bedreigingen op de proef wilt stellen, zoek dan naar manieren om representatieve voorbeelden te bouwen die een breder scala aan mogelijkheden testen. Dit is een betere strategie die tot betere verbeteringen zal leiden. Het zal verdedigers ook helpen eindelijk de vragen te beantwoorden waar de rode teams mee worstelen.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/vulnerabilities-threats/why-red-teams-cant-answer-defenders-most-important-questions